Non stai disinfettando $_POST['id'] .
Esegui un intval() su di esso, o (meglio) rifiutare del tutto l'elaborazione se l'ID non è un numero intero (supponendo che l'ID sia un int campo).
if (!is_numeric($_POST['id'])
die ("Invalid ID");
Non stai disinfettando $_POST['id'] .
Esegui un intval() su di esso, o (meglio) rifiutare del tutto l'elaborazione se l'ID non è un numero intero (supponendo che l'ID sia un int campo).
if (!is_numeric($_POST['id'])
die ("Invalid ID");
